[发明专利]一种用于空地网络架构的管道安全性提升方法与装置

说明书

本发明公开了一种用于空地网络架构的管道安全性提升方法与装置。该方法将基站配置信息预先注册到5G核心网的网络仓库功能网元中；卫星在收到基站发起的中继管道连接建立请求后，通过网络暴露功能网元对网络仓库功能网元发送网络功能查找请求，在网络暴露功能网元收到该基站的网络功能发现请求响应后，根据是否存在基站注册信息设置该基站对应校验结果并响应网元校验请求，最后卫星检查收到的响应带的核验结果信元来判定当前接入基站的合法性。本方法提出的异构系统间网络功能共享可公开信息的数据管道架构及交互方法，降低部署成本并保证效率及普适性，有效补充了5G天地一体化架构下中继卫星对伪基站安全性甄别所需信令交互方法及信元设计。

技术领域

本发明涉及计算机网络和通信技术领域，尤其涉及一种用于空地网络架构的管道安全性提升方法与装置。

背景技术

目前3GPP 5G技术仅提出星地一体组网无线侧技术讨论（NTN non-terrestrialnetworks）尚无核心网侧研究内容，同时CCSA TC12 工作组“天地一体5G网络总体技术要求（送审稿）”第11.3项 “天地一体5G网络安全方案”也对天地一体化架构和安全需求进行了概括性描述： 天地一体5G网络安全应从物理安全、数据安全和网络运行安全几个方面全面进行考虑，内容可以包括但不限于终端连接安全、天基接入网连接安全、天基核心网连接安全、地基接入网连接安全、地基核心网连接安全、网络功能安全、用户数据安全、网络物理隔离和逻辑隔离、网络管理安全、网络配置安全、天地一体业务安全等。可采用的技术手段包括但不限于抗毁技术、抗干扰技术、安全接入和安全路由技术、安全传输、安全存储及密钥管理技术等网络安全防护技术来构建天地一体网络安全架构，保障网络体系安全运行。

如图1所示，现有星地一体化组网架构下5G终端通过空口侧连接到5G地面基站（gNB），5G地面基站到5G核心网（5GC：5G Core Network）的回传网络（包括控制面消息和用户面消息）由卫星进行中继，5G终端最终通过由卫星中继的5G数据管道连接到数据网络服务器。需要注意的是，5G系统和作为5G回传网络中继节点的卫星系统是完全独立的，由各自的核心网（5G核心网及卫星核心网）进行控制，两套网络系统间目前没有网络功能互通及信令交互架构和方法。卫星核心网控制的中继卫星对5G地面基站与卫星间的中继管道建立成功与否取决于卫星核心网中5G地面基站的预配置文件，该配置信息属于网元（networkelement）节点（node）或实例（Instance）信息，目前只能由独立于5G系统的卫星核心网对5G地面基站配置文件进行手动更改。

5G核心网中基于服务的架构（eSBA, enhanced service based Architecture）下，网络功能（NF Network Function）的查找采用预先将网络功能的配置信息（Profile）及关联的发现参数注册到网络仓库功能（NRF Network Repository Function）上的形式。当某个网络功能需要被使用时，该网络功能此时为业务提供者（service producer），请求该服务的网元为业务消费者（service consumer）。 如图2所示，当业务消费者（NF_B）没有可用业务提供者（NF_A）信息时， NF_B携带NF_A的发现参数将查找请求发送到NRF，NRF根据NF_A的注册信息并返回匹配该查询参数的内容。具体步骤如下：

图2中的①所示，业务提供者NF_A把网络功能配置文件及用于配置文件搜索的关联发现（discovery）参数注册到NRF，NRF返回成功以确认NF_A成功注册。NRF本身具备注册信息防止修改功能，网元节点一旦成功注册后，NRF无法对该注册信息进行修改，保护网元节点信息安全。

图2中的②所示，业务消费者NF_B需要和NF_A通信进行功能交互，NF_B首先把NF_A关联的发现参数发送到NRF并请求其关联的NF_A预先注册的配置文件,该配置文件可包含一个或多个网元实例信息，NRF返回查询参数匹配的注册信息。